.NET Framework x509Certificate2 类，HasPrivateKey == true && PrivateKey == null？

我正在尝试使用最初使用 MMC 的“证书”管理单元导入到 Windows 10 计算机上的 CurrentUser 密钥库中的 X509 证书。相同的过程已在 Windows 8.1 计算机上进行了测试，得到了相同的结果。

使用标准 PowerShell PKI 模块，我使用 Get-Item 获取 X509Certificate2 对象：

$my_cert = Get-Item Cert:\CurrentUser\My\ADAA82188A17THUMBPRINTXXXXXXXXXXX

的输出$my_cert | fl *如下：

PSPath                   : Microsoft.PowerShell.Security\Certificate::CurrentUser\My\XXXXXXXXXXXXXXXXXXX
PSParentPath             : Microsoft.PowerShell.Security\Certificate::CurrentUser\My
PSChildName              : XXXXXXXXXXXXXXXXXXX
PSDrive                  : Cert
PSProvider               : Microsoft.PowerShell.Security\Certificate
PSIsContainer            : False
EnhancedKeyUsageList     : {Secure Email (1.3.6.1.5.5.7.3.4), IP security user (1.3.6.1.5.5.7.3.7), Encrypting File
                           System (1.3.6.1.4.1.311.10.3.4), Document Signing (1.3.6.1.4.1.311.10.3.12)...}
DnsNameList              : {My Name}
SendAsTrustedIssuer      : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId                 : {D52C406F-C279-4BF2-B7C2-EE704290DB3E}
Archived                 : False
Extensions               : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
                           System.Security.Cryptography.Oid, System.Security.Cryptography.Oid...}
FriendlyName             :
IssuerName               : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter                 : 4/15/2017 2:15:16 PM
NotBefore                : 4/15/2016 2:15:16 PM
HasPrivateKey            : True
PrivateKey               :
PublicKey                : System.Security.Cryptography.X509Certificates.PublicKey
RawData                  : {56, 130, 19, 252...}
SerialNumber             : 4F0000002F700000000000000000000000
SubjectName              : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm       : System.Security.Cryptography.Oid
Thumbprint               : XXXXXXXXXXXXXXXXXXX
Version                  : 3
Handle                   : 2241663016272
Issuer                   : CN=Issuing CA, DC=My, DC=Domain, DC=us
Subject                  : [email protected], CN=My Name

所以 HasPrivateKey == True，但 PrivateKey == null。我一直在试图找出如何访问私钥来执行加密和解密。我在网上看到的示例似乎都表明 X509Certificate2 类的 PrivateKey 属性应该随时可用，但显然我错过了一些东西。

我在这里读过类似的问题，例如x509certificate2 中的私钥为空，但似乎没有一个能解决我的问题。我也读过在 .NET 中使用 X.509 证书的八个技巧Paul Stovell 写的，很有启发性，但最终没有帮助。它确实帮助我验证私钥是否存在于正确的位置，并且据我所知，具有由 x509Certificate2 类引用的正确权限：

C:\Users\My.Name\AppData\Roaming\Microsoft\SystemCertificates\My\Keys

密钥文件的名称与证书上的主题密钥标识符匹配。

Edit:

的输出certutil -user -store my "Serial Number" is:

Serial Number: 4f000000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Issuer: CN=Issuing CA, DC=My, DC=Domain, DC=us
 NotBefore: 4/15/2016 2:15 PM
 NotAfter: 4/15/2017 2:15 PM
Subject: [email protected], CN=My Name
Non-root Certificate
Template: Userv1, User v1
Cert Hash(sha1): ad ab 82 18 8a 17 4d 75 11 04 48 7c 43 43 d4 05 b9 74 c8 4c
  Key Container = te-Userv1-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  Unique container name: fcbba1aa0xxxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  Provider = Microsoft Software Key Storage Provider
Encryption test passed
CertUtil: -store command completed successfully.

我在这里缺少什么“关键”信息？为什么不能从 X509Certificate2 对象方便地引用私钥？我如何访问它？

您的 certutil 信息显示Provider = Microsoft Software Key Storage Provider这意味着私钥存储在 Windows CNG 下，而不是 Windows CryptoAPI (CAPI) 下。

.NET 4.6 添加了 GetRSAPrivateKey（扩展）方法，以促进让 PrivateKey 属性返回非 RSACryptoServiceProvider（或 DSACryptoServiceProvider）的内容的重大更改。如果您有权访问该方法（我不确定 PowerShell 使用哪个版本的框架），那么它将解决您的问题。

不过，有两件事需要注意：

1. GetRSAPrivateKey 每次都会返回一个唯一的 Disposable 对象。您应该将其放在 using 语句中/在完成后手动调用 Dispose（与 cert.PrivateKey 相反，它不是唯一的，因此不应被 Dispose）。
2. 签名/验证//加密/解密方法已移至 RSA 基类（尽管签名略有不同，更具前瞻性）。